یک بدافزار جدید به نام اسپارککت (SparkCat) که از طریق نفوذ به اپلیکیشنهای محبوب موبایل اقدام به سرقت کلیدهای خصوصی کیف پولهای رمزارزی میکند، بیش از ۲۰۰ هزار بار دانلود شده است.
بر اساس گزارش شرکت امنیتی کسپرسکای در ۴ فوریه، این بدافزار که هر دو سیستم عامل اندروید و iOS را هدف قرار میدهد، از طریق کیتهای توسعه نرمافزاری مخرب که در اپلیکیشنهای به ظاهر بیخطر جاسازی شدهاند، گسترش مییابد. اسپارککت با استفاده از فناوری تشخیص نوری کاراکتر (OCR) که قادر به خواندن متن از تصاویر است، گالری تصاویر قربانیان را برای یافتن عبارات بازیابی کیف پولهای رمزارز که در قالب اسکرینشات یا یادداشتهای ذخیره شده پنهان شدهاند، اسکن میکند.
این بدافزار از مارس ۲۰۲۴ فعال بوده و برخی از این اپلیکیشنهای آلوده، از جمله اپلیکیشنهای تحویل غذا و پیامرسانهای مبتنی بر هوش مصنوعی، در گوگل پلی و اپ استور در دسترس بودهاند. این اولین مورد شناخته شده از یک سارق مبتنی بر OCR است که به پلتفرم اپل رسیده است.
نحوه عملکرد این بدافزار در اندروید از طریق یک SDK جاوا به نام Spark است که خود را به عنوان یک ماژول تحلیلی معرفی میکند. زمانی که یک اپلیکیشن آلوده اجرا میشود، Spark یک فایل پیکربندی رمزگذاری شده را از یک مخزن GitLab دریافت میکند. پس از فعال شدن، بدافزار از ابزار OCR گوگل ML Kit برای اسکن گالری تصاویر دستگاه استفاده میکند و به دنبال کلمات کلیدی مرتبط با عبارات بازیابی کیف پول رمزارز در چندین زبان مختلف میگردد.
در iOS، اسپارککت از طریق یک چارچوب مخرب که در اپلیکیشنهای آلوده جاسازی و با نامهایی مانند GZIP، googleappsdk یا stat پنهان شده، عمل میکند. این چارچوب که با Objective-C نوشته شده، با Google ML Kit ادغام میشود تا متن را از تصاویر گالری استخراج کند.
کسپرسکای تخمین میزند که این بدافزار بیش از ۲۴۲ هزار دستگاه را در سراسر اروپا و آسیا آلوده کرده است. اگرچه منشأ دقیق آن نامشخص است، نظرات تعبیه شده در کد و پیامهای خطا نشان میدهد که توسعهدهندگان این بدافزار به زبان چینی تسلط دارند.
محققان کسپرسکای به کاربران توصیه میکنند از ذخیره اطلاعات مهم مانند عبارات رمز، کلیدهای خصوصی و رمزهای عبور در اسکرینشات خودداری کنند.
نظرات کاربران